Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

«Горячая точка»

Прочитали: 5827 Комментариев: 63 Рейтинг: 145

Все мы наслышаны о том, как опасно открывать вложения в письмах от сомнительных отправителей. А может ли навредить картинка из письма?

#drweb

Красный крестик – это так называемое однопиксельное изображение. Достаточно удобная вещь во многих отношениях. В отзывчивом веб-дизайне однопиксельные картинки используются как временные заглушки в ожидании загрузки страницы. Большинство браузеров не поддерживают HTTP Client Hints, поэтому некоторые варианты с отзывчивыми изображениями ждут полной загрузки страницы, чтобы подсчитать актуальный размер картинок, а затем заменяют однопиксельные картинки нужными изображениями при помощи JavaScript.

Есть и еще одно применение однопиксельных картинок: их можно использовать в качестве картинок «по умолчанию». Если нужное изображение по каким-то причинам невозможно найти, в некоторых случаях лучше показать один прозрачный пиксель, чем выдавать «404 — Not Found», которая будет видна в браузерах как «сломанная картинка». Нужное изображение вы в любом случае не увидите, но профессиональнее будет не акцентировать на этом внимание, выдавая иконку «сломанной картинки».

https://habrahabr.ru/post/306210

Но есть у однопиксельных изображений и другие названия – пиксели отслеживания или веб-маячки. В простейшем случае мошенникам (или отделам маркетинга, отслеживающим эффективность своих рассылок) при скачивании полного изображения станут известны время открытия письма, IP-адрес и имя хоста, запросившего картинку.

Это уже ценная информация для спамеров – с ее помощью можно проверить актуальность почтового адреса. Но этим возможности пикселей отслеживания не ограничиваются. С их помощью можно определить операционную систему, получить файлы cookie и данные о почтовом клиенте получателя.

Внимательные читатели наших выпусков, прочитав цитату с Habrahabr, наверное, сразу споткнулись о слово JavaScript. Дело в том, что однопиксельная картинка – это не только ссылка на загрузку, но еще и JavaScript-код, изначально предназначенный для сбора данных о системе, в которой отображается картинка. Это нужно для того, чтобы, скажем, определить размер экрана и отмасштабировать изображение. Но если у мошенников есть возможность использовать JavaScript, значит, они могут собрать нужные данные, загрузить вредоносные файлы и т. д. – возможности огромны.

Еще одно название однопиксельных картинок – скрытые пиксели. Подобные картинки действительно могут быть размером в одну точку, прозрачными или в цвет фона – чтобы пользователи не заметили их. Вас уже исследуют, а вы – ни сном ни духом!

Пиксели отслеживания широко используются и на веб-сайтах. Причем для веб-сайтов пиксели отслеживания позволяют выполнять уникальные вещи.

Предположим, на сайте А размещена специальная картинка (возможно и прозрачная однопиксельная) с сайта Х, собирающего информацию. Затем, когда пользователь открывает сайт Б, на котором размещена та же самая картинка с сайта Х, браузер не загружает эту картинку, а берет ее из кэша. Таким образом, сайт Х узнает о том, что пользователь ранее посетил сайт А. Поэтому отключение кэширования увеличивает анонимность.

https://ru.wikibooks.org/wiki/Защита_конфиденциальных_данных_и_анонимность_в_интернете

А также всегда есть потенциальная опасность того, что, пока картинка находится на главной, сайт, с которого тянется эта картинка, может быть взломан только ради того, чтобы заменить картинку на скрипт.

https://habrahabr.ru/post/140054/

Что делать?

#JavaScript #cookies #слежка #безопасность

Dr.Web рекомендует

  • Если вам не требуется просматривать изображения непосредственно в теле письма, настройте параметры вашего клиента электронной почты так, чтобы он не открывал картинки по умолчанию. К сожалению, многие бесплатные сервисы сейчас по умолчанию настроены на показ изображений – ведь ваши данные интересуют всех.
  • Используйте Dr.Web Security Space, который включает технологию отслеживания вредоносных скриптов.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: